城市軌道交通運行安全、運營安全和信息安全的矛盾與統(tǒng)一*

孫來平 洪海珠 施 聰 虞 翊

（1.同濟大學道路與交通工程教育部重點實驗室，201804，上海；2.上海軌道交通技術(shù)研究中心，201100，上海；3.上海地鐵維護保障有限公司通號分公司，200235，上海；4.同濟大學國家磁浮交通工程技術(shù)研究中心，201804，上海；5.上海電氣泰雷茲交通自動化系統(tǒng)有限公司，200120，上?！蔚谝蛔髡撸こ處煟?/p>

1 運行安全、運營安全與信息安全

安全是“在人類生產(chǎn)過程中，將系統(tǒng)的運行狀態(tài)對人類的生命、財產(chǎn)、環(huán)境可能產(chǎn)生的損害控制在人類能夠接受水平以下的狀態(tài)?！保?］眾所周知，在軌道交通領(lǐng)域里，安全是列車控制信號系統(tǒng)的靈魂，“故障-安全”（故障導(dǎo)向安全）原則是軌道交通安全運行不可逾越的底線［2］。當系統(tǒng)設(shè)備發(fā)生障礙、錯誤、失效的情況時，系統(tǒng)應(yīng)作出導(dǎo)向安全的反應(yīng)，以確保行車安全。但作為一個高效、大運量的公共交通方式，列車控制系統(tǒng)僅滿足“故障-安全”這個底線是遠遠不夠的。廣義的本質(zhì)安全是指“人-機-環(huán)境-管理”這一系統(tǒng)表現(xiàn)出的整體安全性能［3］。不可否認，經(jīng)過長期的研究和不懈的經(jīng)驗積累，無論在軌道交通的安全標準里，還是在日常工作中，軌道交通信號專業(yè)的研究人員已對信號系統(tǒng)的各個子系統(tǒng)的安全行為作了極為詳盡的研究，盡一切可能確保系統(tǒng)在故障情況下導(dǎo)向安全輸出。然而，對于如何引導(dǎo)、輔助和提高整個城市軌道交通系統(tǒng)的運營安全，以及如何全局把控整體運營和運行安全，列車控制信號系統(tǒng)還有很大的提升空間，與之相關(guān)的安全技術(shù)研究有待進一步開展。本文結(jié)合安全及廣義本質(zhì)安全的定義，將軌道交通安全劃分為3大類型：運行安全、運營安全和信息安全，其基本特征如表1所示。

表1 軌道交通運行安全、運營安全和信息安全的基本特征

1.1 運行安全及其表現(xiàn)形式

系統(tǒng)運行是指系統(tǒng)應(yīng)執(zhí)行的工作以及執(zhí)行該工作所需的條件［4］。在軌道交通中，運行安全集中體現(xiàn)在行車安全上。信號系統(tǒng)的安全設(shè)計遵循“故障-安全”原則。系統(tǒng)對運行狀態(tài)進行實時計算，一旦計算結(jié)果與預(yù)期的安全狀態(tài)不吻合，或者2套/多套并行處理器的仲裁結(jié)果不一致時，系統(tǒng)將立即作出反應(yīng)，將系統(tǒng)導(dǎo)向安全一側(cè)，最大限度確保安全停車。典型的事例包括列車緊急制動（EB）模式不可用，區(qū)域封鎖/軌道關(guān)閉、停車點/進路移動授權(quán)回撤等。

1.2 運營安全及其表現(xiàn)形式

運營安全集中體現(xiàn)在安全管理規(guī)定的制定和執(zhí)行上，特別在列車自動防護失效或者信號設(shè)備故障的情形下，控制中心行車調(diào)度、列車駕駛員、車站值班人員等相關(guān)運營人員必須嚴格依照相應(yīng)的管理規(guī)定進行作業(yè)，這是運營安全的基石［4］。

由此可見，影響運營安全最主要因素是人。當突發(fā)行車事故時，調(diào)度員必須能夠按照規(guī)定向有關(guān)部門及上級報告，迅速采取救援措施，及時恢復(fù)列車正常運行最大限度減小對運營造成的影響。軌道交通列車駕駛員是列車安全正點運行的另一個重要保障，他們必須熟知駕車行駛的相關(guān)法律法規(guī)以及駕駛知識，具備熟練駕駛技能，具備良好的服務(wù)意識；更為重要的是，他們必須具備應(yīng)變能力，能及時應(yīng)變，保護車上人員安全。除了線路本身的運營與維護外，運營安全也與乘客息息相關(guān)，大客流下的換乘、導(dǎo)客、限流、疏散，以及與其它交通系統(tǒng)（如道路交通等）的聯(lián)動等都與乘客的公共意識和公共素養(yǎng)直接相關(guān)，如何正確引導(dǎo)乘客，減少因乘客導(dǎo)致的運營安全事故，也是運營安全管理的焦點之一。

1.3 信息安全及其表現(xiàn)形式

信息安全集中體現(xiàn)在數(shù)據(jù)的完整和有效，即須保證信息的保密性、真實性、完整性方面，以及將這些信息作為輸入的系統(tǒng)的接口安全性［5］。信息安全可分為兩方面：狹義的信息安全是建立在以密碼論為基礎(chǔ)的計算機安全領(lǐng)域；廣義的信息安全是一門將管理、技術(shù)、法律等問題相結(jié)合的綜合性學科。當今的城市軌道交通中有線和無線通信的可靠性和安全性已經(jīng)是列車全自動運行最重要的基本條件之一［6］。例如，對于基于通信的列車控制（CBTC）系統(tǒng)，如何防止通信延時、報文丟失、通信中斷、網(wǎng)絡(luò)風暴、黑客入侵（截取、記錄、監(jiān)聽、篡改甚至接管）等安全［5］，是城市軌道交通系統(tǒng)信息安全防護工作的重點。

1.4 影響運行安全、運營安全和信息安全的因素

回顧軌道交通的運營歷程，重大事故的發(fā)生往往同時伴隨著設(shè)備的故障、人員的不安全行為、相關(guān)環(huán)境的負反饋。在研究了全球近30年的軌道交通安全事故及原因［7］后，可以看到事故主要原因集中在以下幾個方面：①人為過失、管理不善；② 設(shè)備故障、車輛本身的原因；③不可抗拒力（颶風、海嘯、泥石流等）；④地基塌陷、線路偏移、城市建設(shè)影響、停電等。其中，人為過失、管理不善和設(shè)備故障所導(dǎo)致的事故占整個事故總量的80%以上。這一驚人的高比例反映出一個事實：城市軌道交通列車控制系統(tǒng)的安全性仍存在較大的局限性，安全更多的體現(xiàn)在各個“點”（設(shè)備故障、人員誤操作等）上，而沒有將這些“點”聯(lián)結(jié)成一個“面”（設(shè)備-人-環(huán)境-管理）。所以，城市軌道交通列車控制系統(tǒng)安全防范的邊界有待進一步擴展和完善。

2 運行安全、運營安全、信息安全的矛盾現(xiàn)象與根源

為保證整體的安全性，首先需要了解事故的發(fā)生機理，理清整個過程中所有參與系統(tǒng)活動中的人、設(shè)備、環(huán)境等因素是如何進入危險狀態(tài)的，從而總結(jié)出運行安全、運營安全和信息安全的矛盾現(xiàn)象及其根源。

2.1 安全性研究的重要問題

從1930年開始，交通運輸、航空、航天、采礦、冶金、醫(yī)療急救、消防等行業(yè)安全領(lǐng)域的國內(nèi)外學者和專家們在幾十年的時間里相繼提出了眾多各種場景和行業(yè)的安全事故模型，如 Adams模型［3，8］、Vird 模型［8］、奶酪模型［3］、多線性時間序列模型（MES）［8］、基于系統(tǒng)論的 STAMP［9，11］模型、Heinrich 事故致因模型［9，11］等。通過研究和總結(jié)這些事故模型，分析導(dǎo)致危險的整個過程，可找出導(dǎo)致危險的矛盾、原因和風險，從而為設(shè)計更具針對性的安全系統(tǒng)、制定合理的措施與應(yīng)急預(yù)案提供支撐。

綜合各類安全模型研究，可知事故與事故誘發(fā)因子（或事故致因）之間的關(guān)系為：事故的誘發(fā)因子是離散量而非線性數(shù)據(jù)；事故的發(fā)生是其誘發(fā)因子共同作用的結(jié)果，其中誘發(fā)因子間不乏相互關(guān)系。據(jù)此，可以把事故以有限非空集合的方式表示如下：

Sys-F（System Failure）——設(shè)備故障/系統(tǒng)失效；

H-E（Human Error）——人員操作失誤；

Unsafe-E（Unsafe Environment）——必備環(huán)境的缺失/周邊環(huán)境的刺激;

SafeCtrl-E（Safe Control Error）——安全管理流程的漏洞/處置預(yù)案的缺失。

從安全研究的角度分析，式（1）涵蓋了3個重要問題：

（1）針對每一個事故誘發(fā)因子，各個學科/專業(yè)領(lǐng)域是否進行了詳細的研究和分析。

（2）各誘發(fā)因子一定是集中出現(xiàn)才會導(dǎo)致事故發(fā)生，還是存在著先后/因果/誘導(dǎo)、互斥/抵觸/限制等關(guān)系，即運行安全、運營安全和信息安全是否存在著內(nèi)在的聯(lián)系。更為關(guān)鍵的是，一種類型的安全行為是否會由于處置的不恰當，而將危險致因轉(zhuǎn)嫁給其它相關(guān)領(lǐng)域，從而降低整體安全。

（3）采取怎樣的手段能夠最大限度地同時抑制事故誘發(fā)因子的出現(xiàn)，以達到整體安全。

2.2 運行安全、運營安全、信息安全的矛盾

從相關(guān)領(lǐng)域的技術(shù)論文、科學報告，特別是事故分析報告中可以看到存在這樣一種現(xiàn)象：安全風險轉(zhuǎn)嫁，即：參與系統(tǒng)運營安全的某個專業(yè)領(lǐng)域在處理安全風險時，可能會直接或間接地將安全風險責任輸出給其它安全相關(guān)的學科/專業(yè)。軌道交通幾種比較常見和典型的風險轉(zhuǎn)嫁舉例見表2。

表2中安全風險的轉(zhuǎn)移凸顯了矛盾的現(xiàn)象：安全領(lǐng)域內(nèi)，各個學科的研究人員將設(shè)計和實現(xiàn)本學科或領(lǐng)域內(nèi)的系統(tǒng)安全行為作為工作的重點，而未考慮其安全行為可能會對后續(xù)或周邊的學科、專業(yè)、操作和管理帶來困難，甚至引入新的安全風險。顯然，這樣的安全性遠遠無法達到安全完整度等級4級（SIL4）的要求。

表2 運行安全、運營安全和信息安全之間的風險轉(zhuǎn)嫁示例

3 運行安全、運營安全、信息安全的統(tǒng)一

運行安全、運營安全和信息安全的統(tǒng)一符合人-機-環(huán)境-管理的本質(zhì)安全的定義。所以，將運行安全、運營安全和信息安全最終統(tǒng)一在系統(tǒng)整體安全這一終極目標上，實現(xiàn)土建、信號、運營管理、車輛、供電等各個專業(yè)/部門的聯(lián)動，是降低城市軌道交通整體安全風險、給出優(yōu)化安全輸出的理想途徑。舉例而言，安全、節(jié)能、高度自動化的無人駕駛軌道交通系統(tǒng)是目前城市軌道交通發(fā)展的趨勢之一，而人-機-環(huán)境-管理的整體安全是實現(xiàn)全自動無人駕駛的基石。如無人駕駛列車因故障迫停區(qū)間場景下的列車救援、乘客逃生、后續(xù)運營恢復(fù)、與其他交通系統(tǒng)信息交互與聯(lián)動等，都是運行安全、運營安全和信息安全三者統(tǒng)一的必要性的力證。

3.1 系統(tǒng)整體安全性的影響因素

基于式（1）中提到的第三個問題，綜合運行安全性、運營安全性和信息安全性等多個維度上的技術(shù)和機理，對軌道交通列車控制系統(tǒng)提出整體運營安全需求，讓系統(tǒng)給出一個優(yōu)化的安全輸出，更加“智慧”地決策安全，成為了亟待解決的問題。系統(tǒng)的整體安全性影響因素可以如圖1所示［2］。

圖1 軌道交通系統(tǒng)整體安全性的影響因素

圖1摘自鐵路歐洲標準EN 50126《可靠性、可用性、可維護性和安全性標準》。由圖1可知，安全性的影響除了受制于系統(tǒng)條件外，還與運營條件、維護條件息息相關(guān)，各個分支的子節(jié)點均同時對最終的安全性和可用性產(chǎn)生影響［2］，具體表現(xiàn)為：

（1）安全是整體的安全，受所有條件影響，不存在部分的安全，也不存在不同條件（系統(tǒng)、運營、維護）下的安全；

（2）系統(tǒng)條件和運營條件之間存在橫向的聯(lián)系（外部干擾），所以孤立地針對不同條件展開研究多少存在盲區(qū)；

（3）人為錯誤、運輸物流、故障診斷等穿插在各個應(yīng)用條件中，而這些因素背后反映的是運營管理的水平［13］。

所以，通過上述分析可知，安全是人-機-環(huán)境-管理的整體安全。在運行、運營和信息等不同范疇內(nèi)的安全，最終必將統(tǒng)一到整個系統(tǒng)的安全上來。

3.2 系統(tǒng)優(yōu)化安全解

從軌道交通系統(tǒng)設(shè)計伊始，就應(yīng)考慮整體安全的概念。具體而言，系統(tǒng)的優(yōu)化安全解可以從以下幾個方面開展：

（1）以運營場景為導(dǎo)向：信號、車輛、網(wǎng)絡(luò)、維護管理等的系統(tǒng)功能性設(shè)計應(yīng)直接面向運營場景，在充分理解運營場景要求的情況下給出設(shè)計方案，而非以實現(xiàn)功能為導(dǎo)向的方式進行。

（2）新技術(shù)、新手段：為軌道交通信號系統(tǒng)注入新技術(shù)、新理念,借鑒、復(fù)用、提煉其它領(lǐng)域先進的系統(tǒng)運行方案，減少或取代傳統(tǒng)人工操作、運營維護等，降低安全風險。例如，借鑒云平臺的安全實時控制特性、分布式計算和數(shù)據(jù)存儲、集群替代冗余、實時故障容錯和安全數(shù)據(jù)回滾技術(shù)等；再如，大數(shù)據(jù)已經(jīng)引入城市軌道交通領(lǐng)域，借鑒引入大數(shù)據(jù)的信息安全保障措施，利用大數(shù)據(jù)進行趨勢預(yù)測，進一步提升預(yù)防性維修維護水平等，也是研究進一步深入的可選方向之一。

（3）聯(lián)營、聯(lián)動：信號、運營管理、車輛、供電、調(diào)度等各個崗位在設(shè)計聯(lián)絡(luò)階段便可制定詳盡的聯(lián)合調(diào)試計劃、階段性系統(tǒng)演練計劃等，而無需等到最終的系統(tǒng)交付、出廠驗收才介入系統(tǒng)的使用。例如，軌道交通運營人員可以參與到開發(fā)或驗證階段的實驗室測試工作，從而對系統(tǒng)有較為深入的認知，可降低人為誤操作。

（4）更具操作性的緊急預(yù)案：在系統(tǒng)研發(fā)過程中，開發(fā)商和軌道交通運營方可進行系統(tǒng)失效評估和對運營影響的分析，制定出有針對性和操作性強的故障恢復(fù)預(yù)案。從而在設(shè)備發(fā)生故障時，確保人工控制前提下的運營安全；在運行系統(tǒng)交付時，相應(yīng)的運營方案和故障處置方案也可相應(yīng)完成。

4 結(jié)語

本文從安全概念出發(fā)，對運行安全、運營安全和信息安全的表現(xiàn)形式及其之間存在的矛盾進行了分析，提出了解決方法的設(shè)想，為進一步優(yōu)化和提高系統(tǒng)的整體安全性研究提供參考。無論是目前的CBTC和聯(lián)鎖后備模式協(xié)同，還是方興未艾的全自動無人駕駛，全自動化、智能處理、高度集中控制是其技術(shù)核心和優(yōu)勢，同時也對安全控制中的設(shè)備、人員、運行環(huán)境間更加緊密有機地結(jié)合提出了更高的要求。所以，運行安全、運營安全和信息安全的統(tǒng)一變得更為重要。

如何在無人值守的條件下將運行、運營、通信（信息）等重要功能協(xié)同工作，以運營場景為綱，實現(xiàn)專業(yè)接口協(xié)同、人機接口協(xié)同，為城市軌道交通提供更為靈活的操作模式，同時避免人為誤操作所引起的風險，更加“智慧”地給出安全輸出，使列車運行更安全，是業(yè)內(nèi)需要不斷深入研究的課題。